A empresa de tecnologia publicitária Optimizely, com sede em Nova York, notificou um número não especificado de clientes sobre um vazamento de dados decorrente do comprometimento de seus sistemas em um ataque de voice phishing.
Com cerca de 1.500 funcionários distribuídos por 21 escritórios globais, a Optimizely atende a mais de 10 mil clientes, incluindo marcas renomadas como H&M, PayPal, Zoom, Toyota, Vodafone, Shell, Salesforce e Nike.
Nas notificações enviadas aos clientes afetados, a companhia informou que os invasores entraram em contato em 11 de fevereiro, alegando ter acesso aos sistemas da empresa.
A Optimizely explicou que o ataque resultou na violação de alguns sistemas, com o vazamento de "informações básicas de contato comercial".
Segundo a empresa, o acesso foi obtido por meio de um sofisticado ataque de voice phishing, mas os invasores não conseguiram escalar privilégios, instalar malware ou criar backdoors no ambiente corporativo.
Além disso, não há indícios de acesso a dados sensíveis dos clientes ou informações pessoais além das referências comerciais básicas.
O incidente afetou sistemas internos específicos, registros do CRM e um conjunto limitado de documentos usados nas operações administrativas.
A empresa afirmou ainda que suas operações continuam sem interrupções.
A Optimizely alertou os clientes para que fiquem atentos a possíveis tentativas subsequentes de phishing, que podem usar os dados roubados para aplicar golpes por meio de chamadas, mensagens de texto ou e-mails.
Essas tentativas podem incluir pedidos de senhas, códigos de autenticação multifator (MFA) ou outras credenciais.
Embora não tenha divulgado o número exato de clientes com informações expostas nem identificado os responsáveis pelo ataque, a companhia indicou que se trata de um grupo informal que utiliza táticas agressivas de engenharia social, especialmente voice phishing, para tentar acessar sistemas corporativos.
A descrição sugere a participação do grupo ShinyHunters, conhecido por campanhas recentes de extorsão que afetaram empresas como Canada Goose, Panera Bread, Betterment, SoundCloud, PornHub, fintech Figure e o grupo Match Group — proprietário de serviços populares de namoro como Tinder, Hinge, Meetic, Match.com e OkCupid.
Embora nem todas as invasões estejam relacionadas a uma mesma campanha, algumas vítimas tiveram suas contas de Single Sign-On (SSO) comprometidas em ataques de voice phishing direcionados a plataformas como Microsoft, Okta e Google, afetando mais de 100 organizações de destaque.
Nessas ações, os invasores se passam pelo suporte técnico, ligam para os funcionários e os convencem a fornecer credenciais e códigos MFA em sites falsos que imitam os portais de login das empresas.
Os atacantes também adaptaram suas técnicas para utilizar o "device code vishing", explorando o fluxo legítimo OAuth 2.0 de autorização de dispositivos para capturar tokens de autenticação Microsoft Entra.
Com isso, eles sequestram contas SSO das vítimas, obtendo acesso a serviços corporativos integrados como Salesforce, Microsoft 365, Google Workspace, Zendesk, Dropbox, SAP, Slack, Adobe, Atlassian, entre outros.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...